Um novo ataque de canal lateral denominado PIXHELL poderia ser aproveitado para atingir computadores isolados pelo ar (air-gapped) violando o "gap de áudio" e exfiltrando informações sensíveis aproveitando-se do ruído gerado pelos pixels na tela.
"Malware em computadores com isolamento físico e gap de áudio gera padrões de pixels elaborados que produzem ruído na faixa de frequência de 0 - 22 kHz", disse Dr.Mordechai Guri, chefe do Laboratório de Pesquisa de Ciberataques Ofensivos no Departamento de Engenharia de Sistemas de Software e Informação na Universidade Ben-Gurion do Negev, em Israel, em um artigo recém-publicado.
O código malicioso explora o som gerado por bobinas e capacitores para controlar as frequências emanadas da tela. Sinais acústicos podem codificar e transmitir informações sensíveis.
O ataque é notável por não requerer nenhum hardware de áudio especializado, alto-falante ou caixa de som interna no computador comprometido, dependendo, em vez disso, da tela LCD para gerar sinais acústicos.
O isolamento pelo ar é uma medida de segurança crucial, projetada para proteger ambientes críticos contra ameaças potenciais à segurança, isolando-os fisicamente e logicamente de redes externas (i.e., internet).
Isso é tipicamente realizado desconectando cabos de rede, desabilitando interfaces sem fio e conexões USB.
Dito isso, tais defesas podem ser contornadas por meio de insiders mal-intencionados ou comprometimento da cadeia de suprimentos de hardware ou software.
Outro cenário poderia envolver um funcionário desavisado conectando um USB infectado para implantar um malware capaz de acionar um canal de exfiltração de dados oculto.
"Phishing, insiders maliciosos, ou outras técnicas de engenharia social podem ser empregadas para enganar indivíduos com acesso ao sistema isolado pelo ar, induzindo-os a tomar ações que comprometam a segurança, como clicar em links maliciosos ou baixar arquivos infectados", disse Dr.
Guri.
Atacantes também podem usar ataques à cadeia de suprimentos de software visando dependências de aplicações de software ou bibliotecas de terceiros.
Ao comprometer estas dependências, eles podem introduzir vulnerabilidades ou código malicioso que pode passar despercebido durante o desenvolvimento e testes.
Assim como o ataque RAMBO recentemente demonstrado, o PIXHELL utiliza o malware implantado no host comprometido para criar um canal acústico para vazar informações de sistemas com gap de áudio.
Isso é tornado possível pelo fato de que telas LCD contêm indutores e capacitores como parte de seus componentes internos e fornecimento de energia, fazendo com que vibrem em uma frequência audível que produz um ruído agudo quando a eletricidade passa pelas bobinas, um fenômeno conhecido como chiado de bobina.
Especificamente, mudanças no consumo de energia podem induzir vibrações mecânicas ou efeitos piezoeléctricos em capacitores, produzindo ruído audível.
Um aspecto crucial que afeta o padrão de consumo é o número de pixels que estão acesos e sua distribuição na tela, já que pixels brancos requerem mais potência para serem exibidos do que os pixels escuros.
"Além disso, quando a corrente alternada (AC) passa pelos capacitores da tela, eles vibram em frequências específicas", disse Dr.Guri.
Os ecos acústicos são gerados pela parte elétrica interna da tela LCD. Suas características são afetadas pelo bitmap real, padrão e intensidade dos pixels projetados na tela.
Ao controlar cuidadosamente os padrões de pixels exibidos em nossa tela, nossa técnica gera certas ondas acústicas em frequências específicas das telas LCD.
Um atacante poderia, portanto, aproveitar a técnica para exfiltrar os dados na forma de sinais acústicos que são então modulados e transmitidos para um dispositivo Windows ou Android próximo, que pode subsequentemente demodular os pacotes e extrair a informação.
Dito isso, vale ressaltar que a potência e a qualidade do sinal acústico emanado dependem da estrutura específica da tela, de seu fornecimento de energia interno, e das localizações de bobinas e capacitores, entre outros fatores.
Outra coisa importante a destacar é que o ataque PIXHELL, por padrão, é visível para usuários olhando para a tela LCD, dado que ele envolve exibir um padrão de bitmap composto por linhas alternadas em preto e branco.
"Para permanecer encoberto, atacantes podem usar uma estratégia que transmite enquanto o usuário está ausente", disse Dr.Guri.
Por exemplo, um ataque 'noturno' nos canais ocultos é mantido durante as horas de inatividade, reduzindo o risco de ser revelado e exposto.
No entanto, o ataque pode ser transformado em um furtivo durante as horas de trabalho ao reduzir as cores dos pixels para valores muito baixos antes da transmissão - ou seja, usando níveis de RGB de (1,1,1), (3,3,3), (7,7,7) e (15,15,15) - dando assim a impressão ao usuário de que a tela está preta.
Mas fazer isso tem o efeito colateral de "significativamente" baixar os níveis de produção de som.
Nem é uma abordagem infalível, já que um usuário ainda pode perceber padrões anômalos se olhar "cuidadosamente" para a tela.
Essa não é a primeira vez que restrições de gap de áudio foram superadas em um ambiente experimental.
Estudos anteriores realizados por Dr. Guri empregaram sons gerados por ventiladores de computador (Fansmitter), discos rígidos (Diskfiltration), drives de CD/DVD (CD-LEAK), unidades de fornecimento de energia (POWER-SUPPLaY) e impressoras a jato de tinta (Inkfiltration).
Como contramedidas, é recomendado usar um jammer acústico para neutralizar a transmissão, monitorar o espectro de áudio para sinais inusuais ou incomuns, limitar o acesso físico a pessoal autorizado, proibir o uso de smartphones e usar uma câmera externa para detectar padrões de tela modulados inusuais.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...